支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:752

75.2%
立即捐款
一、 漏洞 CVE-2025-12674 基础信息
漏洞信息
                                        # KiotViet Sync 1.8.5 未授权文件上传漏洞

## 概述

KiotViet Sync 是一款用于 WordPress 的插件,存在任意文件上传漏洞,影响版本包括 1.8.5 及之前所有版本。

## 影响版本

- KiotViet Sync for WordPress ≤ 1.8.5

## 细节

漏洞源于 `create_media()` 函数中缺乏文件类型校验,攻击者可利用该缺陷上传任意文件。

## 影响

未认证攻击者可通过上传恶意文件在目标服务器上实现远程代码执行(RCE)。
神龙判断

是否为 Web 类漏洞:

判断理由:

是。这个漏洞允许未经身份验证的攻击者通过上传任意文件到受影响站点的服务器,可能实现远程代码执行,是Web服务服务端的一个漏洞。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
KiotViet Sync <= 1.8.5 - Unauthenticated Arbitrary File Upload
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The KiotViet Sync plugin for WordPress is vulnerable to arbitrary file uploads due to missing file type validation in the create_media() function in all versions up to, and including, 1.8.5. This makes it possible for unauthenticated attackers to upload arbitrary files on the affected site's server which may make remote code execution possible.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
危险类型文件的不加限制上传
来源:美国国家漏洞数据库 NVD
漏洞标题
WordPress plugin KiotViet Sync 代码问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台具有在基于PHP和MySQL的服务器上架设个人博客网站的功能。WordPress plugin是一个应用插件。 WordPress plugin KiotViet Sync 1.8.5及之前版本存在代码问题漏洞,该漏洞源于create_media函数缺少文件类型验证,可能导致任意文件上传和远程代码执行。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-12674 的公开POC
#POC 描述源链接神龙链接
1KiotViet Sync <= 1.8.5 - Unauthenticated Arbitrary File Uploadhttps://github.com/Nxploited/CVE-2025-12674POC详情
三、漏洞 CVE-2025-12674 的情报信息

  • 标题: KiotViet Sync <= 1.8.5 - Unauthenticated Arbitrary File Upload -- 🔗来源链接

    标签:

    神龙速读:
                                            ### 关键漏洞信息

- **CVE**: 无
- **公开发布日期**: 2023年11月4日
- **最后更新日期**: 2023年11月6日
- **研究员**: kritd
- **软件类型**: 插件
- **软件Slug**: kvietviet-sync (查看 [WordPress.org](https://wordpress.org/plugins/kvietviet-sync/))
- **已修复**: 否
- **缓解措施**: 没有已知的补丁可用。请根据组织的风险承受能力审查漏洞详细信息并实施缓解措施。最好卸载受影响的软件并找到替代品。
- **受影响版本**: <= 1.0.5
    KiotViet Sync <= 1.8.5 - Unauthenticated Arbitrary File Upload

  • 标题: KiotViet Sync – WordPress plugin | WordPress.org -- 🔗来源链接

    标签:

    神龙速读:
                                            从这个网页截图中可以获取到以下关于漏洞的关键信息:

- **插件状态**:该插件已于2025年11月4日关闭,不再提供下载。关闭原因是作者请求。
- **版本信息**:
  - 当前版本:1.8.5
  - 最后更新时间:6个月前
- **兼容性信息**:
  - 兼容的WordPress版本:4.9或更高
  - 测试过的最高WordPress版本:6.8.3
  - 要求的PHP版本:7.1或更高

这些信息表明该插件已经停止维护和更新,可能存在安全风险,建议用户不要使用或尽快寻找替代方案。
    KiotViet Sync – WordPress plugin | WordPress.org
  • https://nvd.nist.gov/vuln/detail/CVE-2025-12674
四、漏洞 CVE-2025-12674 的评论

暂无评论

发表评论